陳萬志 徐東升 張靜 唐雨

摘 要：針對(duì)工業(yè)控制系統(tǒng)傳統(tǒng)單一檢測(cè)算法模型對(duì)不同攻擊類型檢測(cè)率和檢測(cè)速度不佳的問題，提出一種優(yōu)化支持向量機(jī)和K-means++算法結(jié)合的入侵檢測(cè)模型。首先利用主成分分析法（PCA）對(duì)原始數(shù)據(jù)集進(jìn)行預(yù)處理，消除其相關(guān)性;其次在粒子群優(yōu)化（PSO）算法的基礎(chǔ)上加入自適應(yīng)變異過程避免在訓(xùn)練的過程中陷入局部最優(yōu)解;然后利用自適應(yīng)變異粒子群優(yōu)化（AMPSO）算法優(yōu)化支持向量機(jī)的核函數(shù)和懲罰參數(shù);最后利用密度中心法改進(jìn)K-means算法與優(yōu)化后的支持向量機(jī)組合成入侵檢測(cè)模型，從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)的異常檢測(cè)。實(shí)驗(yàn)結(jié)果表明，所提方法在檢測(cè)速度和對(duì)各類攻擊的檢測(cè)率上得到明顯提升。

關(guān)鍵詞：工業(yè)控制系統(tǒng);主成分分析;粒子群優(yōu)化算法;支持向量機(jī);密度中心法;K-means算法

中圖分類號(hào)：TP393.08

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-9081（2019）04-1089-06

Abstract： Aiming at the problem that traditional single detection algorithm models have low detection rate and slow detection speed on different types of attacks in industrial control system， an intrusion detection model combining optimized Support Vector Machine （SVM） and K-means++algorithm was proposed. Firstly， the original dataset was preprocessed by Principal Component Analysis （PCA） to eliminate its correlation. Secondly， an adaptive mutation process was added to Particle Swarm Optimization （PSO） algorithm to avoid falling into local optimal solution during the training process. Thirdly， the PSO with Adaptive Mutation （AMPSO） algorithm was used to optimize the kernel function and penalty parameters of the SVM. Finally， a K-means algorithm improved by density center method was united with the optimized support vector machine to form the intrusion detection model， achieving anomaly detection of industrial control system. The experimental results show that the proposed method can significantly improve the detection speed and the detection rate of various attacks.

Key words： industrial control system; Principal Component Analysis （PCA）; Particle Swarm Optimization （PSO） algorithm; Support Vector Machine （SVM）; density center method; K-means algorithm

0?引言

工控入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）是一套集動(dòng)態(tài)預(yù)防、監(jiān)控和保護(hù)系統(tǒng)免遭入侵為一體的新型安全機(jī)制[1]。IDS是網(wǎng)絡(luò)安全的第二道防火墻，對(duì)網(wǎng)絡(luò)的數(shù)據(jù)傳輸進(jìn)行實(shí)時(shí)監(jiān)控，通過對(duì)數(shù)據(jù)的分析發(fā)現(xiàn)其異常行為，并對(duì)這些異常行為及時(shí)發(fā)出異常警報(bào)。工業(yè)控制系統(tǒng)（Industrial Control System， ICS）的IDS方法主要有異常檢測(cè)、誤用檢測(cè)和混合檢測(cè)三種，其中異常檢測(cè)是將檢測(cè)到的行為與系統(tǒng)正常行為模型進(jìn)行匹配，若發(fā)現(xiàn)違反正常模型的行為則判定為異常行為，它的缺點(diǎn)是無法實(shí)現(xiàn)精確地識(shí)別和劃分;誤用檢測(cè)一般采用特征匹配技術(shù)，將檢測(cè)到的行為與已知攻擊行為的特征庫進(jìn)行比對(duì)，從而發(fā)現(xiàn)入侵行為，它的不足的地方是無法識(shí)別出未知的攻擊行為;混合檢測(cè)是兩者的結(jié)合[2]。

作為研究熱點(diǎn)，學(xué)者們提出一系列IDS的相關(guān)算法。文獻(xiàn)[3]提出改進(jìn)K-means算法在入侵檢測(cè)中的應(yīng)用，利用平均值的方法解決傳統(tǒng)K-means算法對(duì)初始聚類中心的選擇問題;但該方法不能明顯提高檢測(cè)的速度和檢測(cè)率。文獻(xiàn)[4-5]提出了改進(jìn)的支持向量機(jī)算法對(duì)支持向量機(jī)的參數(shù)進(jìn)行優(yōu)化，在對(duì)各個(gè)攻擊類型的檢測(cè)率上得到一定的提高;但測(cè)試時(shí)間比較長，檢測(cè)速度不佳。文獻(xiàn)[6]結(jié)合主成分分析（Principal Component Analysis， PCA）和反向傳播（Back Propagation， BP）神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法，利用PCA對(duì)數(shù)據(jù)集進(jìn)行預(yù)處理，從而加快收斂和提高檢測(cè)效率;但該方法在檢測(cè)未授權(quán)的本地超級(jí)用戶特權(quán)訪問R2L（Remote to Location）、來自遠(yuǎn)程主機(jī)的未授權(quán)訪問U2R（User to Root）這兩個(gè)攻擊類型時(shí)效果不明顯。文獻(xiàn)[7]結(jié)合白名單過濾和神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法，根據(jù)神經(jīng)網(wǎng)絡(luò)檢測(cè)結(jié)果不斷完善白名單規(guī)則庫提高異常通信的檢測(cè)率;但該方法在檢測(cè)速度上沒有進(jìn)行優(yōu)化。文獻(xiàn)[8]提出改進(jìn)的魚群算法對(duì)工業(yè)控制網(wǎng)絡(luò)通信異常進(jìn)行檢測(cè)，對(duì)神經(jīng)網(wǎng)絡(luò)的初始輸入權(quán)值和閾值進(jìn)行優(yōu)化，提高了異常檢測(cè)的準(zhǔn)確率、縮短了檢測(cè)時(shí)間;但該方法對(duì)各典型攻擊類型的檢測(cè)效果不明顯。

綜上所述，傳統(tǒng)的K-means算法過度依賴初始聚類中心的選擇，初始聚類中心的選擇好壞直接影響聚類結(jié)果的穩(wěn)定性，從而導(dǎo)致入侵檢測(cè)的檢測(cè)率效果不佳;改進(jìn)的支持向量機(jī)是對(duì)支持向量機(jī)參數(shù)的優(yōu)化，在入侵檢測(cè)類型的分類得到了一定的突破，但在入侵檢測(cè)的檢測(cè)速度上沒得到提升;神經(jīng)網(wǎng)絡(luò)在異常通信的檢測(cè)率上有一定的提升，但在各攻擊類型的檢測(cè)率和檢測(cè)速度上沒有得到進(jìn)一步的提升。因此，本文提出一種基于PCA和自適應(yīng)變異粒子群優(yōu)化（Particle Swarm Optimization with Adaptive Mutation， AMPSO）支持向量機(jī)（Support Vector Machine，SVM）與改進(jìn)的K-means結(jié)合的入侵檢測(cè)算法（PCA-AMPSO-SVM-K-means++），提高對(duì)各類攻擊的檢測(cè)精確度和檢測(cè)速度。

1?工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)原理

1.1?工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全要求

與Internet系統(tǒng)網(wǎng)絡(luò)相比，ICS網(wǎng)絡(luò)的安全需求包括功能安全、物理安全、信息安全三個(gè)層面，其安全目標(biāo)為可用性、完整性、保密性，與Internet系統(tǒng)網(wǎng)絡(luò)存在的明顯差別。此外，二者性能需求、安全體系著重點(diǎn)等方面還存在著不同的需求，具體如表1所示。

1.2?工業(yè)控制入侵檢測(cè)的思想

在管理員的網(wǎng)絡(luò)客戶端和Web服務(wù)器間的網(wǎng)關(guān)上，加入主成分分析法、優(yōu)化的支持向量機(jī)、K-means++算法檢測(cè)環(huán)節(jié)，利用通信網(wǎng)絡(luò)中的數(shù)據(jù)特征，檢測(cè)出管理者與服務(wù)器的異常通信數(shù)據(jù)，從而提高檢測(cè)的準(zhǔn)確率和檢測(cè)速度[8]。圖1表示為工業(yè)控制系統(tǒng)的架構(gòu)模型。

1.3?入侵檢測(cè)中的特征選擇

本文實(shí)驗(yàn)中用到的KDD99數(shù)據(jù)集中，入侵攻擊的數(shù)據(jù)主要分為四大類[9]：

1）拒絕服務(wù)攻擊（Denial-of-Service， DoS）：通過攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或耗盡被攻擊對(duì)象的資源，使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)和資源訪問。

2）端口監(jiān)視或掃描（surveillance and probe， Probe）：攻擊者對(duì)目標(biāo)對(duì)象發(fā)起進(jìn)攻的常用手段，再通過此手段得到相關(guān)信息。

3）U2R攻擊：攻擊者通過遠(yuǎn)程主機(jī)，以未授權(quán)的方式進(jìn)行操作和資源訪問。

4）R2L攻擊：對(duì)權(quán)限較低的User進(jìn)行攻擊，通過對(duì)系統(tǒng)或網(wǎng)站漏洞獲取權(quán)限，然后進(jìn)行非法操作。

2?本文方法模型

2.1?AMPSO-SVM算法

2.1.1?AMPSO算法

AMPSO算法[7]是由于PSO算法結(jié)構(gòu)相對(duì)簡單，因此運(yùn)算速度較快，在尋優(yōu)過程中防止陷入局部最優(yōu)，故加入自適應(yīng)變異過程。其中PSO算法的速度、位置更新公式如下：

2.1.2?AMPSO優(yōu)化SVM算法

基于SVM算法的數(shù)據(jù)分類原理，核函數(shù)K及其懲罰參數(shù)C的選擇對(duì)于SVM的分類性能以及泛化能力非常重要。本文利用自適應(yīng)粒子群算法優(yōu)化SVM的核函數(shù)K和懲罰參數(shù)C，具體的實(shí)現(xiàn)步驟[10]如下：

步驟1?將原始數(shù)據(jù)集預(yù)處理后作為檢測(cè)模型輸入樣本。

步驟2?初始化粒子群算法中相對(duì)應(yīng)的初始數(shù)據(jù)。

步驟3?按照SVM算法的決策函數(shù)判斷其輸出值是否達(dá)到檢測(cè)精度或粒子群的最大迭代次數(shù)。若是則執(zhí)行步驟6，否則執(zhí)行步驟4。

步驟4?根據(jù)式（4）計(jì)算適應(yīng)度方差值。

步驟5?通過變異操作后，選擇個(gè)體極值pbest、全局最優(yōu)值gbest。

步驟6?選擇SVM最優(yōu)核函數(shù)K與懲罰參數(shù)C，得到SVM算法模型。

2.2?K-means++算法

K-means是一種典型的基于樣本間距離的算法，通過計(jì)算樣本間距離的大小評(píng)價(jià)樣本間的相似性。該算法認(rèn)為每個(gè)簇都是由距離最近的對(duì)象組成，所以把得到獨(dú)立且緊湊的簇作為最終的目標(biāo)。但K-means算法的初始聚類中心K值的選擇至關(guān)重要，K值選擇得合適與否直接影響算法的工作效率和準(zhǔn)確性。本文采用密度和中心點(diǎn)來確定初始聚類中心K值的選擇[11]。

其中：C2n是從n個(gè)點(diǎn)中取兩個(gè)點(diǎn)的組合數(shù)，這里是表示所有點(diǎn)之間的距離。

本文中K-means++聚類算法的實(shí)現(xiàn)步驟：

輸入?包含K個(gè)簇的數(shù)據(jù)學(xué)習(xí)樣本Dm×n。

輸出?K個(gè)初始聚類的數(shù)據(jù)集。

1）通過式（9）計(jì)算出每個(gè)數(shù)據(jù)樣本的密度，并進(jìn)行密度大小的排序得到數(shù)據(jù)集D1;

2）選取當(dāng)前密度最大的數(shù)據(jù)樣本點(diǎn)并通過式（10）選擇與其距離最近的樣本點(diǎn);

3）通過定義1中的公式計(jì)算出這兩點(diǎn)的中點(diǎn)，作為初始聚類中心kv，其中v∈（1，2，…，k）;

4）以kv為簇中心，用式（11）算出半徑畫出圓域（r=avgrange），則此圓域?yàn)橐粋€(gè)劃分，并且從此D1中去除該圓域中的數(shù)據(jù)點(diǎn);

5）重復(fù)2）～5），直到選取K個(gè)中心點(diǎn);

6）當(dāng)取到K個(gè)聚類時(shí)，D1中剩下的未劃分的點(diǎn)則根據(jù)式（10）劃分給最近的簇;

7）輸出K個(gè)初始聚類，算法結(jié)束。

2.3?本文入侵檢測(cè)模型

在離線條件下采用本文提出的入侵檢測(cè)方法進(jìn)行模型訓(xùn)練，得到輸出的結(jié)果檢測(cè)分類器的模型，進(jìn)而在線對(duì)通信數(shù)據(jù)作出實(shí)時(shí)決策。

整個(gè)檢測(cè)系統(tǒng)可分為三個(gè)階段：1）離線數(shù)據(jù)處理。面對(duì)大量的冗余用戶數(shù)據(jù)，采用PCA對(duì)數(shù)據(jù)進(jìn)行預(yù)處理。

2）離線構(gòu)建分類器。訓(xùn)練數(shù)據(jù)進(jìn)行預(yù)處理后，得到的用戶的數(shù)據(jù)特征經(jīng)過訓(xùn)練模塊，得到檢測(cè)分類器的模型。

3）在線實(shí)時(shí)決策。將在線實(shí)時(shí)獲取用戶數(shù)據(jù)通過訓(xùn)練好的檢測(cè)系統(tǒng)，分類器根據(jù)其特征作出相應(yīng)的分類決策。

本文入侵檢測(cè)方法工作流程如圖2所示。

3?實(shí)驗(yàn)與結(jié)果分析

3.1?算法有效性驗(yàn)證

3.1.1?實(shí)驗(yàn)數(shù)據(jù)

本文仿真實(shí)驗(yàn)數(shù)據(jù)為入侵檢測(cè)廣泛應(yīng)用的KDD99數(shù)據(jù)集。該數(shù)據(jù)集包括訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集記錄分別為514092和319490條，每個(gè)數(shù)據(jù)包含41維特征，其中最后1維為標(biāo)簽屬性。主要包括5大類數(shù)據(jù)記錄，分別為：Normal數(shù)據(jù)、DoS攻擊、Probe攻擊、U2R攻擊、R2L攻擊[7]，從中抽取部分?jǐn)?shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)，如表2所示。

3.1.2?實(shí)驗(yàn)環(huán)境及相關(guān)數(shù)據(jù)

本文測(cè)試仿真實(shí)驗(yàn)的硬件環(huán)境為操作系統(tǒng)為Windows 10，內(nèi)存為4GB，Intel i5-7200U 2.70GHz，所用的軟件環(huán)境為Matlab 2016a、Pycharm 2017。

首先，利用上文提到的主成分分析方法對(duì)數(shù)據(jù)集進(jìn)行特征提取，利用python軟件對(duì)514092個(gè)數(shù)據(jù)12個(gè)特性進(jìn)行主成分分析;然后利用上述的貢獻(xiàn)率計(jì)算即可提取相應(yīng)的主成分個(gè)數(shù);接著比較每個(gè)主成分的在原始數(shù)據(jù)中的承載量，承載量越大，對(duì)應(yīng)的數(shù)據(jù)信息量就越大;最后提取10個(gè)主成分反映的主要原始數(shù)據(jù)特性[12]。

在Matlab環(huán)境下，利用PCA-AMPSO-SVM-K-means++算法模型進(jìn)行訓(xùn)練和測(cè)試，輸出分別為Normal數(shù)據(jù)、DoS攻擊、U2R攻擊、R2L攻擊、Probe攻擊。對(duì)應(yīng)的系統(tǒng)的結(jié)構(gòu)如圖3所示。

在粒子群尋優(yōu)算法中設(shè)置最大迭代次數(shù)為50，并且在每次迭代過程中記錄其適應(yīng)度方差。如圖4所示，可以看出PSO-SVM的方差在迭代35次達(dá)到最優(yōu)，而AMPSO-SVM在迭代12次時(shí)得到最優(yōu)解。

根據(jù)入侵檢測(cè)的標(biāo)準(zhǔn)，本文提出的PCA-AMPSO-SVM-K-means++入侵檢測(cè)模型以檢測(cè)率和誤報(bào)率為評(píng)價(jià)指標(biāo)。其中：

在此，將本文的入侵檢測(cè)方法與傳統(tǒng)的K-means聚類算法、傳統(tǒng)支持向量機(jī)（SVM）算法、基于PSO-SVM算法[13]，以及K-means與反向傳播（BP）神經(jīng)網(wǎng)絡(luò)結(jié)合的算法（K-BP）[14]進(jìn)行對(duì)比。

對(duì)五組入侵檢測(cè)模型的誤報(bào)率進(jìn)行的比較如圖6所示，從中可發(fā)現(xiàn)PCA-AMPSO-SVM-K-means算法模型對(duì)各種類型攻擊的誤報(bào)率均有所降低。

3.2?工業(yè)控制仿真測(cè)試

為了進(jìn)一步驗(yàn)證本文的檢測(cè)模型在工業(yè)控制網(wǎng)絡(luò)中的適用性，本文以某風(fēng)力發(fā)電廠的工業(yè)數(shù)據(jù)為基礎(chǔ)，對(duì)本文方法模型進(jìn)行性能分析。圖7為某發(fā)電廠數(shù)據(jù)采集與同步系統(tǒng)架構(gòu)拓?fù)鋱D。

在某風(fēng)力發(fā)電廠獲取的部分采集數(shù)據(jù)共13817條，其中正常數(shù)據(jù)為13757條，異常數(shù)據(jù)為60條。部分?jǐn)?shù)據(jù)如表4所示。

在工業(yè)控制系統(tǒng)實(shí)驗(yàn)中，分別提取源IP地址、目標(biāo)IP地址、協(xié)議和數(shù)據(jù)長度4組數(shù)據(jù)特征。將獲取的數(shù)據(jù)對(duì)這4組數(shù)據(jù)特征通過主成分分析進(jìn)行降維和特征提取，將處理后的數(shù)據(jù)作為輸入節(jié)點(diǎn)進(jìn)行輸入，檢測(cè)方法模型的輸出節(jié)點(diǎn)分別為正常數(shù)據(jù)（Normal）和異常數(shù)據(jù)（Abnormal）。

在工業(yè)控制實(shí)驗(yàn)中共采集13817條數(shù)據(jù)，將其中的9817條數(shù)據(jù)作為測(cè)試數(shù)據(jù)集，包含9770條正常數(shù)據(jù)和47條異常數(shù)據(jù);其他4000條作為測(cè)試數(shù)據(jù)集，包含3987條正常數(shù)據(jù)和13條異常數(shù)據(jù)。

將本文方法與文獻(xiàn)[7-8]方法利用工控系統(tǒng)采集的數(shù)據(jù)進(jìn)行測(cè)試并對(duì)比。

在同一實(shí)驗(yàn)條件下，本文方法在測(cè)試數(shù)據(jù)集13條異常數(shù)據(jù)中檢測(cè)出11條異常數(shù)據(jù)，文獻(xiàn)[7]方法檢測(cè)出9條異常數(shù)據(jù)，文獻(xiàn)[8]方法檢測(cè)出10條異常數(shù)據(jù)。本文方法與文獻(xiàn)[7]方法、文獻(xiàn)[8]方法的檢測(cè)率分別為84.62%、69.23%、76.92%。

現(xiàn)將本文方法與SVM、PSO-SVM方法進(jìn)行隨著測(cè)試樣本的增加，檢測(cè)率的對(duì)比研究，結(jié)果如圖8所示。

相對(duì)于SVM、PSO-SVM方法，本文方法隨著測(cè)試樣本在總樣本的比例逐漸增加，響應(yīng)時(shí)間明顯低于其他方法，說明本文方法實(shí)時(shí)性優(yōu)于其他方法，如圖9所示。產(chǎn)生時(shí)間上的差距主要在粒子群尋優(yōu)的過程中加入自適應(yīng)變異操作，從而迭代次數(shù)少于其他方法。

4?結(jié)語

本文針對(duì)工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)問題提出優(yōu)化支持向量機(jī)與K-means++結(jié)合的算法，根據(jù)本文的具體工作流程可知該方法具有如下優(yōu)點(diǎn)：1）利用主成分分析（PCA）對(duì)數(shù)據(jù)集進(jìn)行特征提取和降維，更好地提高檢測(cè)速度和檢測(cè)精度;2）利用自適應(yīng)粒子群算法優(yōu)化支持向量機(jī)參數(shù)，提高支持向量機(jī)的分類性能;3）通過密度中心法對(duì)K-means算法進(jìn)行改進(jìn)，解決了初始聚類中心隨機(jī)選擇問題，減小了實(shí)驗(yàn)誤差。

實(shí)驗(yàn)結(jié)果表明，本文提出PCA-AMPSO-SVM-K-means++算法模型對(duì)各攻擊類型的平均檢測(cè)率和檢測(cè)速度上明顯優(yōu)于其他對(duì)比方法。此外，本文還通過對(duì)某工業(yè)控制系統(tǒng)獲得的數(shù)據(jù)進(jìn)行了實(shí)驗(yàn)對(duì)比，進(jìn)一步驗(yàn)證了本文方法的有效性。

參考文獻(xiàn)（References）

[1] 尚文利， 安攀峰， 萬明， 等.工業(yè)控制系統(tǒng)入侵檢測(cè)技術(shù)的研究及發(fā)展綜述[J]. 計(jì)算機(jī)應(yīng)用研究， 2017， 34（2）： 328-330. （SHANG W L， AN P F， WAN M， et al. A survey of the research and development of industrial control system intrusion detection technology[J]. Application Research of Computers， 2017， 34（2）： 328-330.）

[2] 楊安， 孫利民， 王小山， 等.工業(yè)控制系統(tǒng)入侵檢測(cè)技術(shù)綜述[J]. 計(jì)算機(jī)研究與發(fā)展， 2016， 53（9）： 2039-2054. （YANG A， SUN L M， WANG X S， et al. Industrial control system intrusion detection technology overview[J]. Computer Research and Development， 2016， 53（9）： 2039-2054.）

[3] 李洋. K-means聚類算法在入侵檢測(cè)中的應(yīng)用[J]. 計(jì)算機(jī)工程， 2007， 33（14）： 154-156. （LI Y. Application of K-means clustering algorithm in intrusion detection[J]. Computer Engineering， 2007， 33（14）： 154-156.）

[4] 劉萬軍， 秦濟(jì)韜， 曲海成， 等.基于改進(jìn)單類支持向量機(jī)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)[J]. 計(jì)算機(jī)應(yīng)用， 2017， 26（12）： 1-5. （LIU W J， QIN J T， QU H C， et al. Industrial control network intrusion detection method based on improved single-class support vector machin[J]. Journal of Computer Applications， 2017， 26（12）： 1-5.）

[5] PARVANIA M， KOUTSANDRIA G， MUTHUKUMAR V， et al. Hybrid control network intrusion detection systems for automated power distribution systems[C]// Proceedings of the 2014 IEEE/IFIP International Conference on Dependable Systems and Networks. Washington， DC： IEEE Computer Society， 2014： 774-779.

[6] 梁辰， 李成海， 周來恩.PCA-BP神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 空軍工程大學(xué)學(xué)報(bào)， 2016， 32（6）： 93-96. （LIANG C， LI C H， ZHOU L E. PCA-BP neural network intrusion detection method [J]. Journal of Air Force Engineering University， 2016， 32（6）： 93-96.）

[7] 陳萬志， 李東哲.結(jié)合白名單過濾和神經(jīng)網(wǎng)絡(luò)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 計(jì)算機(jī)應(yīng)用， 2018， 38（2）： 363-369. （CHEN W Z， LI D Z. Industrial control network intrusion detection method combining white list filtering and neural network [J]. Journal of Computer Applications， 2018， 38（2）： 363-369.）

[8] 陳萬志， 唐雨， 張靜.工業(yè)控制網(wǎng)絡(luò)異常通信檢測(cè)的改進(jìn)魚群算法優(yōu)化方法[J]. 計(jì)算機(jī)應(yīng)用研究， 2018， 36（8）： 323-328. （CHEN W Z， TANG Y， ZHANG J. Improved fish school algorithm optimization method for abnormal communication detection in industrial control networks[J]. Application Research of Computers， 2018， 36（8）： 323-328.）

[9] LEE C B， ROEDEL C， SILENOK E. Detection and characterization of port scan attacks[J]. Key Engineering Materials， 2014， 602/603（3）： 93-96.

[10] 陳冬青， 張普含， 王華忠.基于MIKPSO-SVM方法的工業(yè)控制系統(tǒng)入侵檢測(cè)[J]. 清華大學(xué)學(xué)報(bào) （自然科學(xué)版）， 2018， 58（4）： 380-386. （CHEN D Q， ZHANG P H， WANG H Z. Intrusion detection of industrial control systems based on MIKPSO-SVM method [J]. Journal of Tsinghua University （Science and Technology）， 2018， 58（4）： 380-386.）

[11] 周煒奔， 石躍祥.基于密度的K-means聚類中心選取的優(yōu)化算法[J]. 計(jì)算機(jī)應(yīng)用研究， 2012， 29（5）： 1726-1728. （ZHOU W B， SHI Y X. Density-based K-means clustering center selection algorithm[J]. Application Research of Computers， 2012， 29（5）： 1726-1728.）

[12] BISHOP M， GATES C. Defining the insider threat [EB/OL]. [2018-05-10]. https：//escholarship.org/uc/item/1qm187cg.

[13] 馬占飛， 陳虎年， 楊晉， 等.一種基于IPSO-SVM算法的網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 計(jì)算機(jī)科學(xué)， 2018， 45（2）： 231-235. （MA Z F， CHEN H N， YANG J， et al. A network intrusion detection method based on IPSO-SVM algorithm[J]. Computer Science， 2018， 45（2）： 231-235.）

[14] 王曉燕. K-均值算法與自組織神經(jīng)網(wǎng)絡(luò)算法的改進(jìn)研究及應(yīng)用[D]. 太原： 中北大學(xué)， 2017： 65-66. （WANG X Y. Research and application of K-means algorithm and self-organizing neural network algorithm [D]. Taiyuan： North University of China， 2017： 65-66.）

[15] 牛雷， 孫忠林.PCA-AKM算法及其在入侵檢測(cè)中的應(yīng)用[J]. 計(jì)算機(jī)科學(xué)， 2018， 45（2）： 226-229. （NIU L， SUN Z L. PCA-AKM algorithm and its application in intrusion detection[J]. Computer Science， 2018， 45（2）： 226-229.）